Autentizace. Ing. Miloslav Hub, Ph.D. 10. října 2007

Rozměr: px

Začít zobrazení ze stránky:

Download "Autentizace. Ing. Miloslav Hub, Ph.D. 10. října 2007"

Denis Kubíček
před 8 lety
Počet zobrazení:

1 Autentizace Ing. Miloslav Hub, Ph.D. 10. října 2007

2 Identifikace versus autentizace Identifikace je tvrzení subjektu o své identitě. Identitou subjektu může být jeho totožnost, skupinová příslušnost, schopnost, případně negace určitých hodnot těchto vlastností. Autentizace je důkaz identifikace, je to proces, který toto tvrzení ověřuje s požadovanou mírou záruky. Slovo autentizace pochází z řeckého slova authentikos, latinsky authenticus, což znamená pravý, původní, hodnověrný.

3 Definice autentizace v české legislativě Pojem autentizace definuje vyhláška Národního bezpečnostního úřadu č. 56/1999 Sb. o zajištění bezpečnosti informačních systémů nakládajících s utajovanými skutečnostmi, provádění jejich certifikace a náležitostech certifikátu. Autentizací subjektu se zde rozumí proces ověření jeho identity splňující požadovanou míru záruky ( 2 písm. f).

o zajištění bezpečnosti informačních systémů nakládajících s utajovanými skutečnostmi,

4 Princip a základní rozdělení autentizace Subjekt předkládá předem dohodnutý identifikační znak (případně více identifikačních znaků), který je pro daný subjekt jedinečný. Na základě jisté ověřovací informace je tento identifikační znak jako důkaz tvrzené identity přijat, případně odmítnut. Podle druhu identifikačních znaků autentizaci dělíme: Znalostní autentizace (něco znát) Autentizace prostřednictvím autentizačního předmětu (něco mít) Biometrická autentizace (něčím být) Vícefaktorová autentizace Varianta A B C D E F G Znalost Autentizační předmět Biometrika

Na základě jisté ověřovací informace je tento identifikační znak jako důkaz tvrzené identity přijat, případně odmítnut.

5 Rozdělení autentizace (1) Podle toho, co je třeba prokázat: Pozitivní Negativní Podle spolupráce autentizovaného subjektu: Kooperativní Nekooperativní Podle vnímáníprocesu autentizace autentizovaným subjektem: Zjevná Skrytá Podle doby, kdy je autentizace prováděna: Statická Průběžná

Nekooperativní Podle vnímáníprocesu autentizace autentizovaným

6 Rozdělení autentizace (2) Podle nároků na autentizovanýsubjekt: Obvyklá Neobvyklá Podle autentizovaných subjektů: Veřejná. Soukromá Podle přítomnosti obsluhy: Sobsluhou Bez obsluhy Podle otevřenosti autentizačního systému: Otevřený Uzavřený

7 Rozdělení autentizace (3) Podle prostředívněmžautentizace probíhá: Standardní prostředí Nestandardní prostředí

8 Autentizované subjekty Pro účely autentizace rozdělujeme autentizované subjekty na oprávněné uživatele (ang. valid user) a neoprávněné narušitele (angl. impostor). Oprávněný uživatel se identifikuje svojí identitou. Neoprávněný narušitel se identifikuje identitou jiného subjektu.

valid user) a neoprávněné narušitele (angl. impostor).

9 Chyba přijetí a chyba odmítnutí Chyba přijetí je přijetí důkazu identifikace subjektu předložený jiným subjektem (neoprávněným narušitelem). Chyba odmítnutí je odmítnutí důkazu identifikace oprávněného uživatele. Rozhodnutí Přijmout Odmítnout Situace Oprávněný uživatel Neoprávněný narušitel Žádoucí stav Chybné přijetí Chybné odmítnutí Žádoucí stav

Chyba odmítnutí je odmítnutí důkazu identifikace oprávněného uživatele.

10 Kvalitativní ukazatelé autentizace False accept rate (FAR) Podmíněná pravděpodobnost, že pokud se buse autentizovat neoprávněný narušitel, dojde k chybě přijetí. False reject rate (FRR) Podmíněná pravděpodobnost, že pokud bude autentizován oprávněný uživatel, dojde k chybě odmítnutí. FRR FAR = P( FR / OU ) = lim N N OU = P( FA/ NN) = lim NN N N N N FR OU FA NN

False reject rate (FRR) Podmíněná pravděpodobnost, že pokud bude autentizován oprávněný

11 Znalostní autentizace Založena na určité znalosti, kterou disponuje daný subjekt (skupina subjektů) a kterou by neměl disponovat někdo jiný. Použití např. přístup do op. systému, do ové schránky, mobily, bankomaty, kabelová televize, přístup do WIFI sítě, Možné alternativy: Hesla Passphrase PINy Jednorázová hesla Kontrolní otázky Grafické hesla

systému, do e-mailové schránky, mobily, bankomaty, kabelová televize, přístup do WIFI

12 Útoky na heslo Útok přehráním Útok odpozorováním Útok ze středu Uhádnutíhesla na základě informacío uživateli Slovníkový útok (dictionary attack) Slovníkový útok spermutací Útok hrubou silou (bruteforce attack)

uživateli Slovníkový útok (dictionary attack)

13 Požadavky na silné heslo Distribuce zabezpečeným způsobem. Obsahuje malá i velká písmena, číslice a další znaky dostupné na klávesnici. Dostatečná délka. Nejde o obvyklé slovo nebo známou frázi. Neodvoditelné ze znalosti osoby vlastníka. Je často obměňované. Není nikde poznamenáno, nikomu se nesděluje. Pro každou službu jiné heslo. Každý uživatel svoje vlastní heslo. Bezpečné uložení v databázi. V případě kompromitace změna hesla. Kontrola nad počítačem, na němž je heslo zadáváno.

Nejde o obvyklé slovo nebo známou frázi. Neodvoditelné ze znalosti osoby vlastníka. Je často obměňované.

14 Autentizační předměty Autentizace založena na jedinečným předmětu, kterým disponuje daný subjekt. Magnetické karty, čipové karty, Autentizační předmět má svoji životnost, lze ztratit, zničit, ukrást, půjčit. Třeba speciální čtecí zařízení (kontaktní, bezkontaktní).

Magnetické karty, čipové karty, Autentizační předmět má svoji

15 Biometrická autentizace Biometrická autentizace je založena na jedinečných vlastnostech lidského těla. Biometrické identifikační znaky nelze ukrást, ztratit, zapomenout,půjčit Zpravidla třeba specální snímací zařízení. V biometrické autentizaci mohou být měřeny: Behaviorální vlastnosti Otisk prstu Geometrie ruky Rozpoznávání obličeje Oční duhovka Fyzilologické vlastnosti Dynamika psaní na klávesnici Ověřování hlasu Dynamika podpisu

16 Princip biometrické autentizace Zápis etalonů Ukládání etalonů Uložení etalonu v biometrickém čtecím zařízení. Uložení etalonu ve vzdálené centrální databázi. Uložení etalonu v přenosných tokenech, například v čipové kartě. Libovolná kombinace předcházejících způsobů. Verifikace Ukládání výsledků verifikačního procesu

Uložení etalonu v přenosných tokenech, například v čipové kartě.

17 Verifikace v biometrické autentizaci

18 Závislost FAR a FRR na hranici míry nepod.

19 DET graf

Podobné dokumenty

Úvod do biometrie. Vladimír Lieberzeit vladimir.lieberzeit@upek.com UPEK Inc.

Úvod do biometrie. Vladimír Lieberzeit vladimir.lieberzeit@upek.com UPEK Inc. Úvod do biometrie Vladimír Lieberzeit vladimir.lieberzeit@upek.com UPEK Inc. Obsah Úvod do biometrie, základy Přehled biometrických metod Otisky prstů trochu podrobněji Úvod do biometrie Úvod do biometrie